Pracownicze Plany Kapitałowe (PPK) a RODO

Pracownicze Plany Kapitałowe wzbudzają w Internecie wiele dyskusji na tematy finansowe. Czy podobnie jest w zakresie ochrony danych?

Powierzenie czy udostępnienie?

Wydaje się, że temat powierzania danych nie schodzi z top10 pytań związanych z RODO. Niemalże codziennie na forach inspektorów natykam się na pytanie dotyczące rozpoznania, czy dana czynność jest powierzeniem czy nie. Już dawno napisałem na ten temat artykuł: Powierzać czy nie powierzać?

W przypadku PPK wydaje się jednak, że nie ma tu o czym dyskutować. Już w Artykule 2 ust. 1 (Ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych) czytamy:

Art. 2. ust. 1: Użyte w ustawie określenia oznaczają: […] 33) uczestnik PPK – osobę fizyczną, która ukończyła 18. rok życia, w imieniu i na rzecz której podmiot zatrudniający zawarł umowę o prowadzenie PPK z instytucją finansową; […]

Wyraźnie więc widać, że umowa jest zawierana w imieniu i na rzecz osoby fizycznej, co potwierdza art. 14 ust. 1:

Art. 14. ust. 1: Podmiot zatrudniający zawiera w imieniu i na rzecz osób zatrudnionych w podmiocie zatrudniającym umowę o prowadzenie PPK. Lista osób będących uczestnikami PPK stanowi załącznik do umowy o prowadzenie PPK, którego zmiana nie stanowi zmiany umowy o prowadzenie PPK

Jasno więc wskazano, że mamy tu dwóch administratorów. Jednym z nich jest „podmiot zatrudniający”, który prowadzi proces po swojej stronie, a drugim instytucja finansowa, z którą w imieniu osoby fizycznej zawierana jest umowa o prowadzenie PPK. Zdecydowanie mamy tu do czynienia z udostępnianiem danych a nie z procesem powierzenia. Pracodawca ma swój interes w prowadzeniu dokumentacji, a instytucja finansowa swój.

Jakie dane są udostępniane

Znów wesprę się Ustawą i jej Artykułem 2, tym razem ust.1 pkt. 3:

Art. 2 ust.1 pkt. 3: dane identyfikujące uczestnika PPK – imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub datę urodzenia w przypadku osób nieposiadających numeru PESEL, serię i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego;

który punkt bardzo mocno i jednoznacznie wskazuje jakie dane są danymi identyfikującymi. Oczywiście dane identyfikujące to nie wszystko i przetwarzane są jeszcze dodatkowe dane, takie jak wysokości składek, częstotliwość wpłat, spadkobiercy etc. Jednak jasno i wprost powiedziano w ustawie, że te dane mają być udostępniane

Art. 20. 1. Umowa o prowadzenie PPK określa w szczególności: […] 2) dane identyfikujące uczestnika PPK; […]

I w tym miejscu pojawia się rozbieżność w interpretacjach. Bowiem tak szczegółowo określone dane identyfikujące zdają się być zbyt szczegółowe, zwłaszcza w zakresie numeru  telefonu oraz adresu e-mail, których przecież pracownik nie musi w ogóle mieć. Dlatego właśnie w newsletterze Urzędu Ochrony Danych z września 2019 roku pojawia się sugestia, że dane te powinny być przetwarzane na podstawie zgody pracownika. Jednak dość szybko (bo w listopadzie 2019 roku) Urząd wycofał się z tego twierdzenia i uznał zapis Ustawy za obowiązujący. Możemy o tym przeczytać na stronach UODO (https://uodo.gov.pl/pl/138/1251)

Pracodawca ma obowiązek prawny do pozyskania danych osobowych uczestnika PPK takich jak adres poczty elektronicznej oraz numer telefonu i przekazania tych danych do wybranej instytucji finansowej. Takie dane stanowią załącznik do umowy o prowadzenie Pracowniczych Planów Kapitałowych i zgodnie z ustawą są uznane za dane identyfikujące uczestnika PPK.[…] Należy podkreślić, że pracodawca musi przetwarzać takie dane jedynie w celu ich przekazania do wybranej instytucji finansowej.

Zwrócono jednak uwagę na fakt, że jeśli pracownik nie ma tego telefonu lub e-maila, to nie należy go zmuszać do ich zdobywania.

[…] W polskim systemie prawnym nie istnieje, żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne. Dlatego należy pozostawić obywatelowi wybór podawania takich danych.

Ostateczna więc konkluzja jest pewnego rodzaju kompromisem:

[…] Biorąc pod uwagę powyższe, pracodawca ma obowiązek prawny przekazania danych osobowych m.in. w postaci adresu poczty elektronicznej i numeru telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, o ile pracownik takie dane mu udostępni.

Rejestr czynności przetwarzania

Czynność PPK jest czynnością, która powinna znaleźć swoje odzwierciedlenie w Rejestrze czynności przetwarzania, podobnie jak czynność rozliczania podatków czy ubezpieczeń społecznych (ZUS). Będzie ona albo czynnością oddzielną albo połączona w grupę czynności płacowych, w zależności od przyjętej metodologii prowadzenia rejestru.

Ustaliliśmy już wyżej, że:

  • Pracodawca przetwarza dane na podstawie artykułu 6 ust. 1 lit. c RODO w związku z realizacją obowiązków ustawy: Ustawa z dnia 4 października 2018 r. o pracowniczych planach kapitałowych, a dokładniej jej artykułu 20.
  • Dane te udostępniane są do instytucji finansowej na mocy tej ustawy i ona będzie odbiorcą danych, niezależnym administratorem.

Omówiliśmy też, że do instytucji finansowej przekazywane są następujące dane:

  • dane identyfikujące (zgodnie z art. 2 ust.1 pkt 3)
  • dane finansowe (składki)
  • informacje o ewentualnych spadkobiercach (Art. 21. 1. Uczestnik PPK może wskazać, w formie pisemnej, wybranej instytucji finansowej imiennie jedną osobę lub więcej osób, które jako osoby uprawnione mają po jego śmierci otrzymać, zgodnie z przepisami rozdziału 13, środki zgromadzone na jego rachunku PPK.)

Pozostaje więc określić czas przetwarzania. Nie jest on określony wprost w Ustawie, jednak na pewno będzie nie mniejszy niż 5 lat, z uwagi na okres przedawnienia roszczeń z tytułu wpłat do PPK (art. 29. ust. 2 Ustawy). Z drugiej jednak strony, składki są wykorzystywane do konstruowania listy płac oraz określania wysokości uposażenia, stąd określenie czasu przetwarzania danych na okres 10 lub 50 lat (w zależności do tego, czy pracownik został zatrudniony po czy przed 1 stycznia 2019 r.) wydaje się również zasadne.

Analiza ryzyka

Analiza ryzyka związana z PPK powinna być połączona z analizą ryzyka całego procesu kadrowo-płacowego, gdyż jest z nim ściśle połączona, a dane przetwarzane po stronie pracodawcy są w zasadzie tożsame z danymi przetwarzanymi na potrzeby procesu kadrowo-płacowego i wiążą się z nimi niemalże identyczne zagrożenia. Nie należy jednak na tym poprzestawać, gdyż ta czynność związana jest z przekazaniem danych do instytucji finansowej, a tu już pojawiają się różnice.

W przypadku czynności takiej jak rozliczenia podatkowe, odbiorcą danych jest Urząd Skarbowy i wielkiego wyboru nie ma. Analogicznie w przypadku ZUS. Zarówno systemy informatyczne US/ZUS, jak i sam sposób przekazywania danych są poza zasięgiem administratora. Nieco inaczej jednak sprawa wygląda w przypadku PPK. Tutaj relacje pracodawcy z instytucją finansową określa umowa, a co za tym idzie, sposoby przekazywania danych i ich zabezpieczenie mogą być różne, w zależności od instytucji finansowej czy nawet konkretnie zawartej umowy. Należy więc poddać ten kanał analizie bezpieczeństwa i jeżeli okaże się, że ryzyko jest zbyt duże, renegocjować umowę z instytucją finansową tak, aby zapewniała bezpieczeństwo danych na etapie ich udostępniania od pracodawcy.

Obowiązek informacyjny

Na samym końcu należy opracować treść obowiązku informacyjnego zgodnego z art. 13 RODO. W polskiej praktyce czasami jest on bardzo ogólny i być może ta informacja będzie się już dość mocno mieściła w treściach realizujących obowiązek informacyjny (błędnie zwanych klauzulami informacyjnymi) przekazanych pracownikowi wcześniej, na etapie zatrudniania. Można więc, w mojej ocenie, ograniczyć przekazywane informacje do takich punktów jak:

  1. Wybrana instytucja finansowa, do której będą przekazywane dane
  2. Podstawa prawna przetwarzania (art. 6.1.c RODO w związku z art. 20 Ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych)
  3. Podanie których danych podanie jest dobrowolne i czym skutkuje ich niepodanie (np. papierowa dokumentacja zamiast elektronicznego dostępu do konta).

Dla Państwa wygody przygotowałem jednak pełniejszy dokument, jako przykład: [PDF] [DOC] [ODT]. Jest on nieco nadmiernie rozbudowany, jednak kierowałem się dobrem osoby fizycznej i chęcią jej pełnego poinformowania.

Podsumowanie

Mam nadzieję, że tym artykułem rozwiałem ewentualne wątpliwości związane z ochroną danych w systemie pracowniczych planów kapitałowych i że dzięki temu będą się Państwo mogli skupić na niełatwej części merytorycznej, czyli nad znalezieniem w budżecie pracodawcy środków na dołożenie ustawowych 1,5% leżących po stronie pracodawcy.

 

 

Author: Przemysław Adam Śmiejek

Chrześcijanin, żeglarz, inspektor ochrony danych (IOD, DPO), edukator, youtuber. Od 2000 roku prowadzę przedsiębiorstwo informatyczne, a od 2011 roku zajmuję się ochroną danych w placówkach oświatowych. Od 25 maja 2018 pracuję jako Inspektor ochrony danych.